gestão de redes e sistemas distribuídos teresa mariavazão ist/inesc contactos:ist/tagus-park...
TRANSCRIPT
Gestão de Redes e Sistemas Distribuídos
Teresa MariaVazão
IST/INESC
Contactos:IST/Tagus-Park
Email: [email protected]
Tel: 214233242
SNMPv3 e tendências de gestão na Internet
2004/2005
TMV - 2004Gestão de Redes e Sistemas Distribuídos
2
????
Sumário
Módulo II• Arquitectura de Gestão SNMP
• SNMPv1; MIB-II; SNMPv2• SNMPv3
• Arquitectura de Gestão OSI/TMN• CORBA como Arquitectura de Gestão• Gestão baseada na WEB• JAVA como Arquitectura de Gestão• Gestão DMTF• Integração de Arquitecturas de Gestão
TMV - 2004Gestão de Redes e Sistemas Distribuídos
3
Requisitos
Arquitectura de Gestão Internet-SNMPv3
Base de concepção: SNMPv2
Base de concepção: SNMPv2
Simplicidade Simplicidade
Segurança execução das acções de controlo Segurança execução
das acções de controlo
Arquitectura modularArquitectura modular
Diferentes ambientes operacionais
Diferentes ambientes operacionais
Normalização por partesNormalização por partes
Modelos de segurança alternativos
Modelos de segurança alternativos
TMV - 2004Gestão de Redes e Sistemas Distribuídos
4
Complexidade controladaSuporte de dispositivos simples
ArquitecturaModelos conceptuais baseados em subsistemas e interfaces
Aproximação de desenvolvimento
Arquitectura de Gestão Internet-SNMPv3
DocumentosDescrição de cada parte num só documento (MIB e funções)
Configuração remotaChaves secretas configuradas remotamente
SegurançaProtecção contra ataques de segurança
ES
TR
UT
UR
AD
A
TMV - 2004Gestão de Redes e Sistemas Distribuídos
5
Tipos de ataques de segurança contemplados
Arquitectura de Gestão Internet-SNMPv3
Modificação de informação•Alteração de uma mensagens em trânsito
•Alteração de informação de configuração ou de contabilização de recursos
Masquerade•Realização de operações não permitidas a uma entidade através da adopção de uma entidade falsa, que tenha privilégios para as executar
Alteração de sequência • Duplicação, atraso ou reordenação de mensagens
• Duplicação uma mensagem de reboot
Disclosure • Observação de trocas de informação Gestor - Agente
• Observação de um comando de alteração de password
TMV - 2004Gestão de Redes e Sistemas Distribuídos
6
Tipos de ataques de segurança não contemplados
Arquitectura de Gestão Internet-SNMPv3
Negação de serviço• Evitar a comunicação Gestor - Agente
• Situação análoga à que se verifica quando há falha de comunicação• Quando ocorre afecta todas as comunicações pelo que deverá ser resolvido no âmbito geral das comunicações, e não específico da gestão.
Análise de tráfego• Observação do padrão de tráfego gerado Gestor - Agente
• Padrão de tráfego previsível, pelo que não há vantagem em proteger a sua observação
TMV - 2004Gestão de Redes e Sistemas Distribuídos
7
Conceito de entidade• A arquitectura de Gestão SNMP é constituída por um
conjunto de entidades SNMP distribuídas, que cooperam entre si.
• Cada entidade implementa uma parte da arquitectura SNMP, podendo funcionar como Agente, Gestor ou ambos em simultâneo.
Conceito de módulo• Cada entidade é constituída por um conjunto de módulos que
interagem entre si para providenciar serviços.• As interacções são modeladas através dum conjunto de
primitivas abstractas e parâmetros.
Arquitectura de Gestão Internet-SNMPv3
Princípios fundamentais da arquitectura
TMV - 2004Gestão de Redes e Sistemas Distribuídos
8
Entidade SNMP
Arquitectura de Gestão Internet-SNMPv3
Gerador deComandos
Gerador deRespostas
Gerador deNotificações
Receptor deNotifcações
ProxyForwarder
Outros
Aplicações
DespachoSubsistema deProcessamentode Mensagens
Subsistema deSegurança
Subsistema deControlo de
Acessos
Máquina SNMP
TMV - 2004Gestão de Redes e Sistemas Distribuídos
9
Arquitectura de Gestão Internet-SNMPv3
Gerador de ComandosEnvia mensagens Get, GetNext, GetBulk e SetRequest
Processa mensagens Response recebidas como resposta a pedidos enviados
Gerador de NotificaçõesMonitoriza um sistema e gera Traps ou InformRequest com base em eventos ou condições
Selecciona o destino das Notificações, versão do SNMP e parâmetros de segurança
Receptor de NotificaçõesEspera e recebe Traps ou InformRequest
Gera uma resposta quando recebe InformRequest
Proxy Forwarder
Envia mensagens SNMP
Opcional !!!Gerador de RespostasGerador de Processa mensagens Get, GetNext, GetBulk e SetRequest recebidas
Utiliza o Controlo de Acessos e
executa a acção adequada
Envia mensagem Response como resposta a pedidos recebidos
Aplicações
TMV - 2004Gestão de Redes e Sistemas Distribuídos
10
Arquitectura de Gestão Internet-SNMPv3
DespachoCoordena a transferência de PDUs entre a rede e as aplicações Segurança
Serviços de segurança
Ex: autenticação e confidencialidade
Controlo de AcessoServiços de autorização que uma aplicação necessita para a verificação de privilégios
Processamento mensagensConversão PDUs <-> mensagens SNMP
Máquina SNMP
TMV - 2004Gestão de Redes e Sistemas Distribuídos
11
Arquitectura de Gestão Internet-SNMPv3
Gerador deComandos
Gerador deNotificações
Receptor deNotifcações
Despachode PDU
Despachode Msg.
Mapeamentode Transporte
Des
pac
ho
Outro
Segurança
Baseado em
Utilizador
v1MP
v2cMP
v3MP
Outro
Processamento
de
Mensagens
UDP IPX Outros
Rede Estrutura geral dum Gestor
TMV - 2004Gestão de Redes e Sistemas Distribuídos
12
Arquitectura de Gestão Internet-SNMPv3
Despachode PDU
Despachode Msg.
Mapeamentode Transporte
Des
pac
ho
Outro
Segurança
Baseado em
Utilizador
Gerador deRespostas
Gerador deNotificações
ProxyForwarder
v1MP
v2cMP
v3MP
Outro
Processamento
de
Mensagens
UDP IPX Outros
Rede
Outro
Controlo de Acessos
Baseadoem
Views
Manipulação da MIB
Estrutura geral dum Agente
TMV - 2004Gestão de Redes e Sistemas Distribuídos
16
Arquitectura de Gestão Internet-SNMPv2
TMV - 2004Gestão de Redes e Sistemas Distribuídos
17
Arquitectura de Gestão Internet-SNMPv3
RESUMO
TMV - 2004Gestão de Redes e Sistemas Distribuídos
18
Arquitectura de Gestão Internet-SNMPv3
??
MENSAGEM CIFRADA
TMV - 2004Gestão de Redes e Sistemas Distribuídos
19
Arquitectura de Gestão Internet-SNMPv3
TEMPO ACTUAL Janela de Tempo
t
TMV - 2004Gestão de Redes e Sistemas Distribuídos
20
Mecanismos de segurança
Confidencialidade Data Encripation Standard (DES)• Modo Cipher Block Chaining (CBC): o valor de uma parteda mensagem afecta o valor cifrado da parte restante
Autenticidade da origem e do conteúdo: ckecksum MD5• Valor obtido = f (mensagem, chave)• A mensagem é enviada, a chave é comum à origem e destino,mas não é enviada
Time Stamp: • Monitorização de sequências fora de ordem• Definição de intervalo máximo para a resposta
Complexidade
Arquitectura de Gestão Internet-SNMPv2
TMV - 2004Gestão de Redes e Sistemas Distribuídos
21
• Grupos• { (securityModel, securityName)} utilizados no acesso aos objectos
• Nível de segurança• O tipo de acesso de um grupo depende do nível de segurança
associado à mensagem• acesso RO para mensagens não autenticadas
• Contexto• Agregação de objectos em {} de acordo com critérios de acesso
• 2 bridges não SNMP geridas por um Proxy, que mantém a MIB de cada em contextos distintos.
• MIB views• MIB view restringe o acesso de um grupo a determinados objectos
da MIB • Política de acesso
• Definição de perfis de acesso.
Arquitectura de Gestão Internet-SNMPv3
Modelo de Controlo de Acessos baseado em VIEWS
TMV - 2004Gestão de Redes e Sistemas Distribuídos
22
Arquitectura de Gestão Internet-Evolução
TMV - 2004Gestão de Redes e Sistemas Distribuídos
23
Causas…
Arquitectura de Gestão Internet- Evolução
Expansão da Arquitectura de Gestão
Expansão da Arquitectura de Gestão
Expansão da InternetExpansão da Internet
Expansão das tecnologias
Expansão das tecnologias
Adaptação às novas tecnologiasAdaptação às novas tecnologias
EscalabilidadeEscalabilidade Adaptação a novos requisitosAdaptação a novos requisitos
TMV - 2004Gestão de Redes e Sistemas Distribuídos
24
• Normalização• IETF RFC 2471
• Escalabilidade• Permite a comunicação entre Agentes SNMP
• Conceitos fundamentais .• Master Agent
• Comunica com outros agentes (Sub-Agents) e executa as funções tradicionais do SNMP
• Sub Agent• Executam tarefas de gestão específicas, contendo as informações
associadas• AgentX
• Protocolo de comunicação entre Agentes
• O mesmo tipo de operações pedidas ao agente principal é multiplexado pelos Sub-Agentes, de acordo com a porção da MIB que cada um destes implementa
Arquitectura de Gestão Internet - Evolução
Extensão do conceito de Agentes -AgentX
TMV - 2004Gestão de Redes e Sistemas Distribuídos
25
Arquitectura de Gestão Internet - Evolução
Extensão do conceito de Agentes -AgentX
AGENT SYSTEM
MANAGERSYSTEM A B C C
AB
SUBAGENT
MIB
MASTERAGENT
SUBAGENT
MIB
SUBAGENT
MIB
TMV - 2004Gestão de Redes e Sistemas Distribuídos
26
• Normalização• Diferentes visões
• Adaptação a novas necessidades• Sugiu na área da Segurança• Posteriormente adaptada para a área de Desempenho e
Configuração• Muito adequada para o Suporte de Qualidade de Serviço
• Vantagem .• Configuração de um conjunto alargado de agentes através
duma configuração uniforme• Útil em redes complexas e/ou com elevado número de
agentes
Arquitectura de Gestão Internet - Evolução
Gestão baseada em políticas activas
TMV - 2004Gestão de Redes e Sistemas Distribuídos
27
Arquitectura de Gestão Internet - Evolução
Policy-based Management – Modelo distribuído
• Imperial College, Londres, M. Sloman •Componentes principais
• Conjunto comum de serviços• Serviços de gestão• Aplicações de gestão
• Conceitos relevantes• Políticas
• Entidade que pode alterar o comportamento do sistema
• Domínio• Conjunto de entidades que têm um política comumCommunication
Distributed objectDistributed object
Distributed processingDistributed processing
Common managementCommon management PoliciesPolicies
DomainsDomains
Management applicationsManagement applicationsUser interface
Distributed ManagementApplication Component
TMV - 2004Gestão de Redes e Sistemas Distribuídos
28
Arquitectura de Gestão Internet - Evolução
Policy-based Management – Modelo centralizado
• IETF
• Principais componentes• PDP – Policy Decision Point• PEP –Policy Enforcement Point
• Outros componentes• Policy Repository• Policy Management Tool
PDP
PEP
PolicyRepository
PolicyMngt.Tool
Policy ProtocolCOPSCOPS
Repository Access Protocol
LDAP, SNMPLDAP, SNMP
IETF Framework
TMV - 2004Gestão de Redes e Sistemas Distribuídos
29
Arquitectura de Gestão Internet - Evolução
Policy-based Management – Modelo híbrido
• Projecto IST (6º Programa Quadro) Tequilla
•Agent-Manager
• (N) Objectos geridos descrevem as propriedades de gestão dos da camada N para a camada N+1
• (N+1) Lógica de Gestão – acede à informação de gestão dos objectos geridos da camada N
• Policy Consumer
• (N) Policy Consumer opera sobre os objectos geridos da camada N-1
(N) PolicyConsumer
(N+1) PolicyConsumer
(N) Agent-Manager
Managed Object
Managed Logic
(N-1) Agent-Manager
Managed Object
Managed Logic
(N+1) PolicyConsumer
(N) PolicyConsumer
TMV - 2004Gestão de Redes e Sistemas Distribuídos
30
Resumo da aula
• SNMPv3• Conceitos gerais• Entidade SNMP• Segurança• Controlo de acessos
• Tendências de evolução• AgentX – Comunicação entre agentes• Gestão baseada em políticas activas